Tentativas de ataque de força bruta em ascensão
De acordo com o Fortinet Threat Intelligence Insider Latin America, os ataques de força bruta estão muito ativos na região e estão entre as tentativas de ataque de invasão mais frequentes no segundo trimestre do ano. Alguns exemplos são o SSH.Connection.Brute.Force, uma tentativa de ataque de força bruta que consiste em várias solicitações de SSH destinadas a executar um login SSH de força bruta, lançado a uma velocidade de cerca de 200 vezes em 10 segundos. Outro exemplo é o SMB.Login.Brute.Force, uma detecção de pelo menos 500 logins SAMBA fracassados em um minuto, indicando um possível ataque de força bruta nos sistemas operacionais Microsoft Windows.
Com a transição maciça para o escritório em casa, os cibercriminosos encontram um número significativo de servidores RDP (Remote Desktop Protocol) configurados incorretamente, levando a mais ataques desse tipo.
O crescimento do trabalho remoto reacendeu o interesse dos cibercriminosos em ataques de força bruta, que são tentativas repetidas e sistemáticas de adivinhar uma credencial enviando diferentes nomes de usuário e senhas para tentar acessar um sistema.
Os ataques de força bruta são comumente usados para descriptografar algoritmos de criptografia ou obter senhas fracas, senhas de e-mail, credenciais de redes sociais, acesso Wi-Fi etc. O invasor tenta, através de mecanismos automáticos repetitivos, diversas tentativas quase simultâneas até alcançar o resultado bem-sucedido.
Campanhas de phishing maliciosas
Os resultados do Fortinet Threat Intelligence Insider Latin America para o primeiro semestre de 2020 revelam um aumento nas tentativas de atrair vítimas inocentes para acessar sites e links maliciosos ou fornecer informações pessoais por telefone sob o falso argumento da pandemia de covid-19 .
O FortiGuard Labs relatou um aumento significativo de vírus, muitos dos quais incluídos nesses anexos de phishing maliciosos.
Em abril, ocorreu o maior volume de campanhas de phishing por e-mail relacionadas à covid-19, foram mais de 4.250. O maior pico ocorreu em 2 de abril, quando a Fortinet relatou 330 campanhas de phishing por e-mail com o tema covid-19 em todo o mundo. Os números têm diminuído constantemente desde abril, com 3.590 campanhas de phishing por e-mail em maio e 2.841 em junho.
A maioria dos e-mails continha arquivos maliciosos .DOCX e .PDF anexados (.DOCX o mais alto), sendo as tentativas de ransomware as mais prevalentes.
É essencial que as organizações tomem medidas para proteger seus funcionários remotos e para ajudá-los a proteger seus dispositivos e redes domésticas. Aqui estão algumas etapas fundamentais a serem consideradas:
A melhor maneira de mitigar ataques de força bruta é usar senhas fortes, mas usar senhas longas e complexas é apenas o primeiro passo para impedir esse tipo de ataque. É importante usar mecanismos de criptografia e que a organização limite o número de tentativas de login durante um determinado período, além de possuir outros mecanismos de autenticação robustos, como multifator, tokens ou validação de imagem (CAPTCHA).
Além disso, é importante investir em soluções de monitoramento e detecção capazes de identificar invasões de rede e comportamentos anômalos. A capacidade de responder automaticamente é crucial para evitar violações de dados.
Top | Nome | Contagem | |
---|---|---|---|
1 | W32/Frauder.ALT!tr.bdr | 499,812 | |
2 | W32/Bancos.CFR!tr | 134,051 | |
3 | W32/Tibs.HI@mm | 101,594 | |
4 | W32/HexZone!tr | 85,631 | |
5 | MSOffice/CVE_2017_11882.C!exploit | 36,086 | |
6 | W32/Glupteba.B!tr | 30,430 | |
7 | W32/BackDoor.BA!tr | 15,758 | |
8 | W32/BitCoinMiner.BXPOTENTIALLYUNSAFE!tr | 24,962 | |
9 | MSOffice/CVE_2017_11882.DMP!exploit | 15,758 | |
10 | W32/Kazus.A!worm | 14,951 |
é classificado como Trojan com propriedades de backdoor. O Trojan Backdoor tem a capacidade de receber uma conexão remota de um hacker mal-intencionado e executar ações contra o sistema comprometido.
é classificado como um Trojan. Suas atividades geralmente incluem o estabelecimento de conexões de acesso remoto, captura de entrada do teclado, coleta de informações do sistema, download / upload de arquivos, descarte de outros malwares no sistema infectado, execução de ataques de negação de serviço (DoS) e execução / encerramento de processos.
é classificado como vírus Mass-Mailer. O vírus Mass-Mailer geralmente captura endereços de email no sistema infectado e os usa como uma lista de destino.
Top | Nome | Contagem | |
---|---|---|---|
1 | Backdoor.DoublePulsar | 267,515,398 | |
2 | SIPVicious.svcrack.Brute.Force.Login | 244,063,773 | |
3 | SSH.Connection.Brute.Force | 1,474,435 | |
4 | WordPress.xmlrpc.Pingback.DoS | 2,160,092 | |
5 | SSL.Anonymous.Ciphers.Negotiation | 2,799,442 | |
6 | HTTP.URI.SQL.Injection | 1,273,245 | |
7 | POP3.Login.Brute.Force | 1,631,734 | |
8 | Netcore.Netis.Devices.Hardcoded.Password.Security.Bypass | 7,018,760 | |
9 | SMTP.Login.Brute.Force | 2,306,130 | |
10 | ThinkPHP.Controller.Parameter.Remote.Code.Execution | 948,582 |
Indica a detecção do DoublePulsar Backdoor. Os trojans backdoor têm a capacidade de conectar hosts remotos e executar ações contra o sistema comprometido. O DoublePulsar Backdoor foi revelado pelos vazamentos do Shadow Brokers em março de 2017 e foi usado no ataque de ransomware WannaCry em maio de 2017.
Isso indica a detecção de uma tentativa de logon de força bruta do SIPVicious svcrack. SIPVicious é um scanner SIP. Os atacantes remotos podem obter acesso ao serviço fornecido pelos sistemas vulneráveis.
Indica a detecção de pelo menos 500 logins SAMBA com falha em um minuto, indicando um possível ataque de força bruta de logins SAMBA. Sistemas operacionais Microsoft Windows afetados.
Top | Nome | Contagem | |
---|---|---|---|
1 | Andromeda.Botnet | 15,039,062 | |
2 | H-worm.Botnet | 3,636,759 | |
3 | njRAT.Botnet | 2,797,850 | |
4 | BadRabbit.Botnet | 1,802,235 | |
5 | XorDDOS.Botnet | 1,494,982 | |
6 | Mirai.Botnet | 1,444,291 | |
7 | Emotet.Cridex.Botnet | 1,407,020 | |
8 | Conficker.Botnet | 1,129,335 | |
9 | Necurs.Botnet | 1,100,769 | |
10 | Neurevt.Botnet | 431,495 |
é uma botnet usada para distribuir malware com diferentes recursos, dependendo do comando fornecido pelo servidor de comando e controle (C&C). O kit de ferramentas para essa botnet pode ser obtido na Internet subterrânea e está sendo constantemente atualizado.
é um tipo de bot de malware que pode executar muitas tarefas maliciosas, como baixar e executar malware adicional, receber comandos de um servidor de controle e retransmitir informações específicas.
Isso indica que um sistema pode estar infectado pelo njRAT Botnet. Compromisso do sistema: invasores remotos podem obter controle de sistemas vulneráveis.